Embargo-Ransomware-Gruppe erzielt 34,2 Mio. $ innerhalb eines Jahres: TRM Labs

Die Embargo-Ransomware-Gruppe hat laut Forschungen von TRM Labs seit ihrem Auftreten im April 2024 34,2 Millionen Dollar gestohlen und dabei Opfer in den Bereichen Gesundheitswesen, Unternehmensdienstleistungen und Fertigung ins Visier genommen.

Die meisten Opfer befinden sich in den USA, wobei die Lösegeldforderungen bis zu 1,3 Millionen Dollar pro Angriff erreichen.

Die Cyberkriminellen haben bedeutende Ziele angegriffen, darunter American Associated Pharmacies, Memorial Hospital and Manor in Georgia und Weiser Memorial Hospital in Idaho.

TRM Labs identifizierte etwa 18,8 Millionen Dollar an Opfergeldern, die in nicht zugeordneten Wallets inaktiv bleiben.

BlackCat-Verbindung vermutet

Laut TRM Labs könnte Embargo eine umbenannte Version der nicht mehr existierenden BlackCat (ALPHV) Ransomware-Gruppe sein, basierend auf technischen Ähnlichkeiten und gemeinsamer Infrastruktur.

Beide Gruppen verwenden die Programmiersprache Rust und haben nahezu identische Designs und Funktionalitäten ihrer Datenleck-Websites.

Die On-Chain Analyse ergab, dass historische mit BlackCat verbundene Adressen Kryptowährung zu Wallet-Clustern leiteten, die mit Embargo-Opfern in Verbindung stehen.

Die Verbindung deutet darauf hin, dass die Betreiber von Embargo möglicherweise den BlackCat-Betrieb übernommen haben oder sich nach dessen offensichtlichem Exit-Scam im Jahr 2024 daraus entwickelt haben.

Embargo operiert nach einem Ransomware-as-a-Service-Modell, stellt Partnern Tools zur Verfügung und behält gleichzeitig die Kontrolle über Kernoperationen und Zahlungsverhandlungen. Diese Struktur ermöglicht eine schnelle Skalierung über mehrere Sektoren und geografische Regionen hinweg.

Embargo-Ransomwares Einsatz ausgeklügelter Geldwäschemethoden

Die Organisation nutzt sanktionierte Plattformen wie Cryptex.net, risikoreiche Börsen und Zwischenwallet, um gestohlene Kryptowährung zu waschen.

Zwischen Mai und August 2024 überwachte TRM Labs etwa 13,5 Millionen Dollar an Einzahlungen über verschiedene Anbieter virtueller Vermögenswerte, darunter mehr als 1 Million Dollar, die über Cryptex.net geleitet wurden.

Embargo vermeidet eine starke Abhängigkeit von Kryptowährungs-Mixern und schichtet stattdessen Transaktionen über mehrere Adressen, bevor Gelder direkt bei Börsen eingezahlt werden.

Es wurde beobachtet, dass die Gruppe den Wasabi-Mixer in begrenzten Fällen nutzte, mit nur zwei identifizierten Einzahlungen.

Die Ransomware-Betreiber parken Gelder bewusst in verschiedenen Phasen des Geldwäscheprozesses, wahrscheinlich um Verfolgungsmuster zu stören oder auf günstige Bedingungen wie verringerte mediale Aufmerksamkeit oder niedrigere Netzwerkgebühren zu warten.

Embargo zielt speziell auf Gesundheitsorganisationen ab, um durch Betriebsunterbrechungen maximalen Druck auszuüben.

Angriffe im Gesundheitswesen können die Patientenversorgung direkt beeinträchtigen, mit potenziell lebensbedrohlichen Folgen, und Druck für schnelle Lösegeldzahlungen erzeugen.

Die Gruppe setzt Taktiken der doppelten Erpressung ein – sie verschlüsselt Dateien und entwendet gleichzeitig sensible Daten. Opfer sind mit Drohungen von Datenlecks oder Verkäufen im Dark Web konfrontiert, wenn sie die Zahlung verweigern, was finanzielle Schäden mit Reputations- und regulatorischen Konsequenzen verschärft.